DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

Bastian Pfleging
Hallo zusammen,

ich habe mal eine Verständnisfrage, ich hoffe, dass hier jemand
Antworten kann und mag, auch wenn postfix nur am Rande beteiligt ist.

Nehmen wir an, wir haben einen Mailserver mit postfix, der für eine
Reihe von (virtuellen) Maildomains zuständig ist wie z.B.
meinedomain.de. Für ausgehende Mails dieser Domains wird z.b. OpenDKIM
genutzt, um diesen Mails eine DKIM-Signatur hinzuzufügen.

Nun stellen wir uns vor, das z.B. für [hidden email] eine
Weiterleitung auf [hidden email] eingerichtet
ist, d.h. Mails an [hidden email] werden vom lokalen postfix an den
externen Server weitergeleitet.


Wenn nun von einem ganz anderen Server von [hidden email] eine Mail an
[hidden email] geschickt wird, was sollte dann lokal auf dem Server
bei meinedomain.de passieren?

a) für den Fall, dass die Mail von [hidden email] keine DKIM-Signatur
enthält: Sollte der Server von meinedomain.de nun eine Signatur
hinzufügen (u.a. wenn auch SRS verwendet wird) oder nicht?

b) für den Fall, dass die Mail von [hidden email] DKIM-signiert ist:
Sollte dann eine weitere Signatur bei der Weiterleitung hinzugefügt
werden oder nicht?


Viele Grüße,


Bastian

Reply | Threaded
Open this post in threaded view
|

Re: DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

Klaus Tachtler
Hallo Bastian,

schau mal hier in nachfolgenden Artikel
ab dem Absatz "Wann signieren?": (Der Autor hat definitiv sehr viel Ahnung :-))

https://www.heise.de/ct/artikel/E-Mails-signieren-mit-DKIM-221505.html?seite=all

Das beantwortet evtl. Deine Frage für Dich.

Ich persönlich versuche so spät wie möglich im Versendeprozess *eine* DKIM Signatur anzubringen und nicht mehrmals Teile zu signieren.

Grüße
Klaus.

--
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Bastian Pfleging <[hidden email]>
An: [hidden email]
Empfangen: 23.05.2020 03:05:07
Betreff: DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

>       Hallo zusammen,
>
>
>      ich habe mal eine Verständnisfrage, ich hoffe, dass hier jemand
>
> Antworten kann und mag, auch wenn postfix nur am Rande beteiligt ist.
>
>
>      Nehmen wir an, wir haben einen Mailserver mit postfix, der für eine
>
> Reihe von (virtuellen) Maildomains zuständig ist wie z.B.
>
> meinedomain.de. Für ausgehende Mails dieser Domains wird z.b. OpenDKIM
>
> genutzt, um diesen Mails eine DKIM-Signatur hinzuzufügen.
>
>
>      Nun stellen wir uns vor, das z.B. für [hidden email] eine
>
> Weiterleitung auf [hidden email] eingerichtet
>
> ist, d.h. Mails an [hidden email] werden vom lokalen postfix an den
>
> externen Server weitergeleitet.
>
>
>
>      Wenn nun von einem ganz anderen Server von [hidden email] eine Mail an
>
> [hidden email] geschickt wird, was sollte dann lokal auf dem Server
>
> bei meinedomain.de passieren?
>
>
>      a) für den Fall, dass die Mail von [hidden email] keine DKIM-Signatur
>
> enthält: Sollte der Server von meinedomain.de nun eine Signatur
>
> hinzufügen (u.a. wenn auch SRS verwendet wird) oder nicht?
>
>
>      b) für den Fall, dass die Mail von [hidden email] DKIM-signiert ist:
>
> Sollte dann eine weitere Signatur bei der Weiterleitung hinzugefügt
>
> werden oder nicht?
>
>
>
>      Viele Grüße,
>
>
>
>      Bastian
>
>
>

--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

Reply | Threaded
Open this post in threaded view
|

Re: DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

Robert Felber-2
In reply to this post by Bastian Pfleging
Am 23.05.2020 um 03:04 schrieb Bastian Pfleging:

> Hallo zusammen,

Hi,

>
> Nun stellen wir uns vor, das z.B. für [hidden email] eine
> Weiterleitung auf [hidden email] eingerichtet
> ist, d.h. Mails an [hidden email] werden vom lokalen postfix an den
> externen Server weitergeleitet.
>
>
> Wenn nun von einem ganz anderen Server von [hidden email] eine Mail an
> [hidden email] geschickt wird, was sollte dann lokal auf dem Server
> bei meinedomain.de passieren?
>
> a) für den Fall, dass die Mail von [hidden email] keine DKIM-Signatur
> enthält: Sollte der Server von meinedomain.de nun eine Signatur
> hinzufügen (u.a. wenn auch SRS verwendet wird) oder nicht?

IMHO, nein. Domainkeys fuegt der Sender ein.

> b) für den Fall, dass die Mail von [hidden email] DKIM-signiert ist:
> Sollte dann eine weitere Signatur bei der Weiterleitung hinzugefügt
> werden oder nicht?

Eine der Signatur ist gueltig, die desjenigen, der im From steht. Wenn
du den
 From umschreibst, kannst du gern eine neue DKIM einfuegen, ich wuerde
dann aber
die alten rauswerfen.


Hintergrund: der Empfaenger will im Grunde nichts ueber den Relay
wissen, sondern ueber
den Absender. Wenn der Relay sich entscheidet Versender zu spielen (SRS
und Co), muss
der Absender damit leben, dass er uU einen bloeden RelayHoster hat, und
der RelayHoster
muss damit leben, dass seine Reputation , naja, kaputt geht.


https://tools.ietf.org/html/rfc6376#section-2.1


      2.1 <https://tools.ietf.org/html/rfc6376#section-2.1>. Signers



    Elements in the mail system that sign messages on behalf of a domain
    are referred to as Signers.  These may be MUAs (Mail User Agents),
    MSAs (Mail Submission Agents), MTAs (Mail Transfer Agents), or other
    agents such as mailing list exploders.  In general, any Signer will

    be involved in the injection of a message into the message system in
    some way./The key issue is that a message *must be signed before it leaves the
administrative domain of the Signer.*/



Gruss,

Rob


--
*Robert Felber*
IT Systems Administration / Consultant

Alpenstraße 26
86356 Neusaess

Tel: 01523 / 380 68 92